05 Ağustos 2024
8. Yargı Paketi Kapsamında 6698 Sayılı Kişisel Verilerin Korunması Kanunu'nda Yapılan Değişiklikler ve Yansımaları
I- Giriş
Bilindiği üzere 02.03.2024 tarihinde TBMM'de kabul edilen 8. Yargı Paketi ile 12.03.2024 tarihli 32487 sayılı Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun kapsamında 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda birtakım değişiklikler yapılmıştır.
Bu doğrultuda Kanun'un uygulanmasında yaşanan sıkıntıları çözüme kavuşturmak amacıyla, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) de göz önünde bulundurularak, özellikle özel nitelikli kişisel verilerin işlenme şartları ile yurt dışına kişisel veri aktarılması şartlarında kapsamlı değişikliklere gidilmiştir. Bu makalemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda yapılan değişiklikleri özetledik.
II- Özel Nitelikli Kişisel Verilerin İşlenebileceği Hâller
Özel Nitelikli Kişisel Veri Nedir?
Özel nitelikli kişisel veriler, Kanun'un 6. maddesinde belirtilmiş ve kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak nitelendirilmiştir.
Kanun'da yapılan değişiklikle yukarıda yer alan özel nitelikli kişisel veri tanımında herhangi bir değişikliğe gidilmemiş, yalnızca bu tür verilerin işlenme şartları değiştirilmiştir.
Değişiklik Öncesindeki Durum ve Uygulamada Yaşanan Problemler
Eski düzenlemede kural olarak özel nitelikli kişisel veriler, veri sahibinin açık rızası olmaksızın işlenememekteydi ve bunun istisnaları Kanun'da oldukça sınırlı olarak düzenlenmişti. Bu bakımdan ikili bir ayrım mevcuttu:
- Sağlık ve cinsel hayata dair kişisel veriler yalnızca sağlık hizmetlerinin yürütülmesi ve kuruluşlar tarafından,
- Diğer özel nitelikli kişisel veriler ise sadece kanunlarda öngörülen hâllerde veri sahibinin açık rızası olmaksızın da işlenebilmekteydi.
Bu durum özellikle sağlık verilerinin işlenmesi bakımından uygulamada güçlük yaratmakla birlikte işverenler bir yandan iş sağlığı ve güvenliği mevzuatı gereği çalışanlarının sağlık verilerini işlemek zorundayken, diğer yandan bu veriler Kanun gereği iş yerinde yalnızca iş yeri hekimleri tarafından işlenebilmekteydi. İş yeri hekimi olmayan iş yerlerinde bu verilerin özlük dosyasında tutulabilmesi için çalışandan açık rıza alınması gerekiyordu. İşverenler bu nedenle kanuni yükümlülüklerini yerine getirebilmek adına çalışanları açık rıza vermeye yönlendirmek durumunda kalıyordu ki bu da açık rızanın "özgür iradeyle" verilmesi ilkesiyle bağdaşmıyordu.
Özel Nitelikli Kişisel Verilerin İşlenme Şartlarındaki Değişiklikler
Öncelikle özel nitelikli kişisel veri türleri arasındaki yukarıda belirttiğimiz ikili ayrım kaldırılmış ve Kanun'da sınırlı sayıda öngörülen aşağıdaki hâllerde bu tür verilerin veri sahibinin açık rızası alınmaksızın işlenebilmesinin önü açılmıştır. Açık rıza ile aşağıda sayılan durumlarda da özel nitelikli kişisel veriler, veri sahibinden açık rıza alınmaksızın işlenebilecektir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (örneğin; bilinç kaybından ötürü rızasını açıklayamayan kişinin hayatının korunması amacıyla kan grubu verisinin işlenmesi),
- İlgili kişinin alenileştirdiği verilere ilişkin ve alenileştirme iradesine uygun olması (örneğin; herkesçe erişilebilir bir alanda paylaşılmış kan grubu ve alerji bilgilerinin acil durumlarda kullanılma amacına uygun olarak işlenmesi),
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (örneğin; iş ilişkisinin sona ermesinden sonra açılması muhtemel davalarda savunma hakkının kullanılması bakımından eski işçiye ait sağlık verilerinin saklanması),
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması (örneğin; Sağlık Bakanlığı ile her türlü sağlık kuruluşu ve SGK'nın bu amaçlarla işledikleri veriler),
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması (örneğin; 4857 sayılı İş Kanunu uyarınca işverenlerin engelli çalıştırma yükümlülüğünün yerine getirilmesi için sağlık verilerinin işlenmesi),
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyeleri ile düzenli olarak temasta oldukları kişilere ait özel nitelikli kişisel verilerin işlenmesi (örneğin; bu kuruluşlara bağış yapan kişilerin kişisel verilerinin bu kuruluşların faaliyet alanlarıyla sınırlı ve bağlantılı olarak işlenmesi)
Kişisel Verileri Koruma Kurumu'nun ("KVKK") yerleşik uygulaması göz önünde bulundurularak; yalnızca yukarıda yer alan şartlardan herhangi birinin mevcut olmadığı hâllerde veri sahibinin açık rızası alınarak özel nitelikli kişisel verilerin işlenmesi yoluna gidilmelidir.
III- Kişisel Verilerin Yurt Dışına Aktarım Usulleri
Değişiklik Öncesindeki Durum ve Uygulamada Yaşanan Problemler
Her ne kadar Kanun'da verilerin işlenmesi için öngörülen hukuki şartların mevcudiyeti hâlinde yeterli korumanın bulunduğu ülkelere aktarımın veri sahibinin açık rızası alınmaksızın yapılabileceği düzenlenmekteyse de yeterli korumanın bulunduğu ülkeler Kişisel Verileri Koruma Kurulu ("Kurul") tarafından hâlihazırda ilan edilmemişti. Bu da yurt dışına veri aktarmak isteyen veri sorumlularını şu iki yöntemden birini seçmek durumunda bırakıyordu:
- Veri sahiplerinin tek tek açık rızasının alınması,
- Türkiye'deki ve veri aktarımının yapılacağı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve taahhütnamede Kurul'un izninin alınması.
Bununla birlikte değişiklik gerekçesinde de belirtildiği üzere bugüne kadar Kurul'a yalnızca seksen (80) başvuru yapılmış olup Kurulca bunlardan çok azına izin verilmiştir. Neticeten uygulamada veri sorumlularının yurt dışına veri aktarabilmek için tek seçeneği veri sahiplerinden açık rıza almak olmuştu.
Kanun'da yapılan değişiklikler ile yurt dışına veri aktarımı şartları kolaylaştırılmıştır. Ayrıca yurt dışına aktarımın usul ve esaslarını düzenleyen bir yönetmelik de çıkarılmıştır.
Kişisel Verilerin Yurt Dışına Aktarımı Şartlarında Değişen Hususlar
Öncelikle Kurul'a yalnızca aktarımın yapılacağı ülke hakkında değil, uluslararası bir kuruluş veya ülke içerisindeki belirli bir sektör özelinde de yeterli korumanın bulunduğuna ilişkin karar verme yetkisi tanınmıştır (yeterlilik kararı). Örneğin Türkiye'deki otomotiv sektörünün yoğun olarak ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine yalnızca o ülkedeki otomotiv sektörü bakımından yeterlilik kararı verilmesi mümkün hâle gelmiştir. Kurul vermiş olduğu yeterlilik kararını en geç dört yılda bir yeniden değerlendirecek ve gerekli görmesi hâlinde kaldırabilecek, askıya alabilecek veya değiştirebilecektir.
Yeterlilik Kararının Bulunması Hâlinde Yurt Dışına Veri Aktarımı
Kanun'un 5. maddesindeki (özel nitelikli kişisel veriler için 6. madde) hukuki işleme şartlarının mevcudiyeti hâlinde Kurul'un yeterlilik kararı vermiş olduğu ülke, uluslararası kuruluş ve ülke içindeki belirli bir sektöre veri sahibinin açık rızası alınmaksızın kişisel veriler aktarılabilecektir.
Yeterlilik Kararı Bulunmayan Hâllerde Yurt Dışına Veri Aktarımı
Yeterlilik kararının bulunmadığı hâllerde veri sorumluları, aşağıdaki şartların birlikte sağlanması koşuluyla veri sahibinin açık rızası alınmaksızın yurtdışına veri aktarabilecektir.
Kanun'un 5. maddesindeki (özel nitelikli kişisel veriler bakımından 6. maddesindeki) hukuki işleme şartlarından birinin mevcudiyeti ve aktarımın yapılacağı ülkede de veri sahibinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla ve aşağıda sayılan uygun güvencelerden birinin sağlanması durumunda yurt dışına veri aktarımı yapılabilecektir:
- Kamu kurumları arasında yapılacak veri aktarımları; Türkiye'deki kamu kurumu veya kamu kurumu niteliğindeki meslek kuruluşu ile yabancı ülkedeki kamu kurumu veya uluslararası kuruluş arasında bir iş birliği protokolü imzalanması ve yurt dışına veri aktarımı için Kurul'un izninin alınması hâlinde,
- Grup şirketleri arasında yapılacak veri aktarımları; şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına dair hükümler içeren bağlayıcı şirket kurallarının mevcut olması ve bunların Kurulca onaylanması hâlinde,
- Türkiye'deki ve yabancı ülkedeki veri sorumluları arasında Kurulca ilan edilen standart sözleşmenin imzalanması hâlinde; Kurul'dan ayrıca izin almaya gerek olmaksızın,
- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı taahhütnamenin imzalanması hâlinde ise; ayrıca Kurul'dan izin almak şartıyla yurt dışına kişisel veri aktarılabilecektir.
Arızi Aktarımlar
Yeterlilik kararı bulunmayıp yukarıda sayılan uygun güvencelerden birinin de sağlanamadığı bazı durumlarda, tek veya birkaç sefere mahsus olmak şartıyla ve süreklilik taşımayacak şekilde yurt dışına veri aktarılabilecektir. Ancak bu türden bir veri aktarımı yalnızca aşağıdaki hâllerden birinin varlığında söz konusu olabilecektir:
- İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
- Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebiyle alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
- Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
- Aktarımın üstün bir kamu yararı için zorunlu olması.
- Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Mevcut Uygulamaya (Açık Rızaya Dayalı Yurt Dışına Veri Aktarımı) Ne Kadar Süreyle Daha Devam Edilebilecektir?
1 Eylül 2024 tarihine kadar önceden alınmış veya Kanun değişikliğinden sonra alınacak açık rızaya dayanarak yurt dışına veri aktarılmasına devam edilebilecektir. Ancak bu tarihten sonra işbu açık rıza metinleri ile yurt dışına veri aktarımı mümkün olmayacak ve yukarıda bahsedilen aktarım usullerinden biri ile aktarım yapılması hukuka uygun olacaktır.
IV- İdari Para Cezasına Tabi Olan İhlaller ve İdari Para Cezasına Karşı İtiraz Usulünde Değişiklik
Kurul tarafından ilan edilen standart sözleşmenin imzalanması suretiyle yurt dışına veri aktarımı yapılan hâllerde veri sorumlusu veya veri işleyen tarafından ayrı bir yükümlülük olarak, standart sözleşmenin imzalanmasından itibaren beş iş günü (5 iş günü) içinde KVKK'ya bildirilmesi gerekmektedir. Bildirim yükümlülüğünü ihlal eden veri sorumlusu veya veri işleyenler hakkında (2024 yılı için geçerli olmak üzere) 50.000 TL'den 1.000.000 TL'ye kadar idari para cezası uygulanması öngörülmüştür.
V- Yargı Yolunda Yeknesaklık
KVKK reformunda değişiklik yapılan bir diğer konu ise KVK Kurulu kararlarına karşı yargı yolu hususudur. KVKK'nın 18. maddesine eklenen üçüncü fıkrayla "Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir." hükmü getirilmiştir. Kurulca verilen idari para cezalarının mahiyeti nazara alınarak, bu kararların idari yargı mercilerince denetlenmesi sağlanmıştır. Değişiklik öncesi KVK Kurulu kararlarına karşı ikili bir denetleme uygulaması söz konusu olup KVK Kurulu'nun idari para cezalarına karşı sulh ceza hakimliğine başvurulurken idari para cezası dışında kalan kısmı için ise idari yargıya başvurulmaktaydı. Yapılan değişikliklerle KVK Kurulu kararlarının denetimi açısından daha etkin bir usul oluşturulmuştur. Hukuki belirlilik artacağı ve yeknesaklık sağlanacağı için bireyler açısından daha güvenceli bir sistem kurulduğu söylenebilir.
VI- Sonuç
Sonuç olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda yapılan bu kapsamlı değişiklikler, Türkiye'deki veri koruma rejiminin modernize edilmesine ve uluslararası standartlarla uyumlu hâle getirilmesine yönelik önemli adımlar atmıştır. Özel nitelikli kişisel verilerin işlenme şartlarının genişletilmesi ve yurt dışına veri aktarımı prosedürlerinin kolaylaştırılması, veri sorumlularının yasal yükümlülüklerini daha esnek ve etkili bir şekilde yerine getirmelerini sağlayacaktır. Aynı zamanda, idari para cezalarına ilişkin yeni düzenlemeler ve yargı yolundaki yeknesaklık, hukuki belirliliği artırarak, kişisel verilerin korunmasına yönelik daha güvenli bir ortam oluşturacaktır. Bu değişikliklerin hem bireylerin hem de veri sorumlularının haklarını koruma altına alarak, veri güvenliği konusunda daha etkin bir düzenleme sağlaması beklenmektedir. Konu ile ilgili detaylı bilgilendirme yazısına buradan ulaşabilirsiniz.
Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.